网络犯罪分子正试图使用​​带有虚假银行欺诈警报的短信来欺骗数字支付应用程序的美国用户在社交工程攻击中进行即时转账。

该警告由联邦调查局于周四作为公共服务公告发布，称攻击者将通过欺骗银行合法的 1-800 支持号码的电话号码呼叫响应其网络钓鱼消息的受害者。

联邦调查局表示：“以撤销假汇款为借口，受害者被骗到网络参与者控制下的银行账户中付款。”

虚假欺诈警报会参考付款金额和金融机构名称，并要求目标确认他们是否试图即时支付数千美元。

如果收件人回复网络钓鱼短信并拒绝进行此类付款，他们将收到第二条短信，称“很快”会与他们联系。

诈骗者确实按承诺打电话，通常说英语，没有口音，并声称代表目标的银行欺诈部门。

受害者要求撤销虚假付款
最终目标是通过要求受害者从支付应用程序中删除他们的电子邮件地址并将其附加到攻击者控制的一个应用程序中来欺骗受害者“逆转”虚假的即时支付交易。

“演员在询问受害者的电子邮件地址后，将其添加到由演员控制的银行账户中。在更改电子邮件地址后，演员告诉受害者开始另一笔即时支付交易给自己，这将取消或撤销最初的欺诈性付款尝试，”联邦调查局解释说。

“受害者相信他们正在向自己发送交易，实际上是在将即时支付交易从他们的银行账户发送到行为者控制的银行账户。”

诈骗者与其受害者之间的交流可能会持续数天，这表明诈骗者决心实施他们的社会工程攻击。

FBI 还分享了使用数字支付应用程序的美国人应注意的预防措施清单，以避免成为这些骗局的受害者：
警惕未经请求的验证帐户信息的请求。网络攻击者可以使用看似来自合法金融机构的电子邮件地址和电话号码。如果收到有关可能的欺诈或未经授权的转账的电话或短信，请不要直接回复。
如果收到未经请求的验证账户信息的请求，请通过官方银行网站或文件上的已验证电话号码和电子邮件地址联系金融机构的欺诈部门，而不是通过短信或电子邮件中提供的信息。
为所有金融账户启用多因素身份验证 (MFA)，不要通过电话向任何人提供 MFA 代码或密码。
了解金融机构不会要求客户在账户之间转移资金以帮助防止欺诈。
对提供个人身份信息的来电者持怀疑态度，例如社会保险号和过去的地址，以证明其合法性。过去十年中大规模数据泄露事件的激增为犯罪分子提供了大量的个人数据，这些数据可能被反复用于各种诈骗和欺诈。